SlideShare a Scribd company logo

広く知ってほしいDNSのこと ―とあるセキュリティ屋から見たDNS受難の10年間―

Download as PPTX, PDF
Tomohiro Nakashima
Tomohiro Nakashima

2017年10月31日のssmjpでお話するDNSのプレゼンテーション資料です。

Technology
1 of 21
ssmjp20171031 広く知ってほしいDNSのこと ~とあるセキュリティ屋から見たDNS受難の10年間~ 2017年10月31日 NRIセキュアテクノロジーズ株式会社 日本DNSオペレーターズグループ Internet Week 2017 プログラム委員会 中島 智広
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 1 本日のゴール 参加者全員が以下のキーワードの区別が付くようになる ▪ スタブリゾルバ、フルリゾルバ、ネームサーバ ▪ レジストラ、レジストリ 「DNSの脅威」を正しく知り、正しく怖がる 「DNSの浸透問題」が都市伝説であることを知る 技術者としてDNSを正しく理解し、備えるモチベーションを得る 社会人一年目からDNSに携わり気づけば10年。その間、本当にいろい ろなことがありました。教科書に載っていないDNSのいろいろ、その一 部をお話しします。 はじめに 結果
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 2 ネットワーク上で名前解決を行うためのプロトコルであり ネットワークを通じて提供されるあらゆるサービスが依存 WWW, メール, VoIP, etc・・・ DNSの情報に依存する仕組みも多い SSL証明書 送信ドメイン認証(SPF/DKIM) パラノイドチェック(正引きと逆引きの一致) DNSとは example.jp A ? example.jp. A is 124.146.181.148 DNSサーバ群
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 3 フルリゾルバが代理で.(root)から再帰的に名前解決 名前解決の結果はキャッシュDNSサーバで保持され再利用 低負荷、高レスポンス性を実現するため原則UDPで通信 DNSのメカニズム .(root) jp. example.jp. example.jp. A ? キャッシュDNSサーバ (フルリゾルバ) ↑覚えよう! 権威DNSサーバ (ネームサーバ) ↑覚えよう! example.jp. A ? クライアント (スタブリゾルバ) ↑覚えよう! example.jp. A is 124.146.181.148 example.jp. NS is・・・
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 4 ネームサーバ ゾーン情報を保持、管理、公開するためのサーバ。日本では Authoritative Serverを直訳して権威DNSサーバとも呼ばれる。 フルリゾルバ ネームサーバで公開されている情報を、ルートからたどって参 照(再帰問い合わせ)する機能を持つリゾルバ(=名前解決する もの)。スタブリゾルバに対して、フル(サービス)リゾルバと呼ば れる。日本ではキャッシュDNSサーバとも呼ばれる。 スタブリゾルバ 再帰問い合わせ機能を持たないリゾルバ。単に名前解決をし たいだけの機器に組み込まれる。一般的なクライアントOS (Windows/Macなど)のDNS設定はスタブリゾルバの設定。 ネームサーバ、フルリゾルバ、スタブリゾルバ 3つを区別することが、DNSを的確に理解するために重要 ゾーン情報の公開 再帰問合わせ キャッシュ キャッシュ
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 5 全世界のサーバが協調して動作する分散型データベースと言えば 聞こえはいいが、どこにでも悪意の入る余地のある脆弱な仕組み DNSを取り巻く脅威 .(root) jp. example.jp. example.jp. A ? キャッシュDNSサーバ (フルリゾルバ) ↑覚えよう! 権威DNSサーバ (ネームサーバ) ↑覚えよう! example.jp. A ? クライアント (スタブリゾルバ) ↑覚えよう! example.jp. A is 192.0.2.1 example.jp. NS is・・・
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 6 ケース1)応答割り込みによるキャッシュ汚染攻撃 example.jp. 問い合わせ 権威DNSサーバ (ネームサーバ) ↑覚えよう応答 キャッシュDNSサーバ (フルリゾルバ) ↑覚えよう クライアント (スタブリゾルバ) ↑覚えよう 攻撃者 汚染 Rqt N WRr     ) 6553665536 1(15.0 Source:JANOG19 "これでいいのかTTL"民田さん@JPRSを改変 Rr:応答攻撃のレート Rq問い合わせ攻撃のレート W:正規応答が返ってくるまでの時間 N:ネームサーバの数 t:時間 Kaminsky Attack(2008年)はこの攻撃の効率性を高めたことで大きく 話題となった。現在はDNS実装に緩和策が施されており、直ちに危険 なものではない。
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 7 ケース2-1)金盾(Great Firewall of CHINA) 原典:JANOG27 戸山純一氏「特定の条件下で発生する通信エラーに関する考察」 中国の国家規模のDNSスプーフィングは昔から広く知られる
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 8 ケース2-2)中東の某国 https://ripe75.ripe.net/presentations/20-A-curious-case- of-broken-DNS-responses-RIPE-75.pdf 今日ではもはや中国に限る話ではない
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 9 ケース2-3)DigiNotar事件 原典:PKI Day 2012 神田雅透氏「 サイバー攻撃ツールとしての公開鍵証明書の役割」 DNSスプーフィングされても重要な通信は SSL/TLSで保護されるから大丈夫だよ。 偽SSL/TLS証明書とセットで悪用される凶悪な事例が現実に発生
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 10 ケース3)日経新聞、はてなドメイン名ハイジャック事件 http://www.itmedia.co.jp/news/article s/1411/06/news123.html 国内事業者のネームサーバ情報が第三者により書き換えられた
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 11 想定される脅威のまとめ 悪意ある第三者 攻撃手法 DNS応答への割り込みによる キャッシュ汚染攻撃 何らかの手法によるDNSサーバを 乗っ取ったDNS応答の改ざん など 国家規模の何か 攻撃手法 通信経路ハイジャック DNSサーバへの介入などによる DNS応答そのものの改ざん など 対策手法 改ざんを検知する仕組みの導入 攻撃を検知・防御する仕組みの導入 対策手法 改ざんを検知する仕組みの導入
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 12 DNSの不都合な事実 攻撃ポイントがたくさんある プロトコルとしてスプーフィング(偽装/改ざん)への耐性が高くない DNSへの攻撃が成功すると 悪意あるサイトへの誘導(フィッシング、攻撃コード、マルウェア配布) 中間者攻撃(Man In the Middle Attack) サービス妨害(DoS) etc・・・ あらゆるサービスが依存する重要なインフラにも関わらず、 DNSの応答が正しさを確認する方法がないことが問題 DNSの脆さと相手認証の必要性 DNSにおいて通信相手と通信の中身の認証が必要
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 13 DNSSEC(DNS SECurity extension)は 公開鍵暗号を用いた電子署名で応答の真正性検証を行う拡張仕様 DNSスプーフィングを根本的に防ぐことが可能 DNSSECとは example.jp. example.jp. A ? 権威DNSサーバ (ネームサーバ) 応答+検証済みフラグ キャッシュDNSサーバ (フルリゾルバ) ユーザ (スタブリゾルバ) 攻撃者 検証
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 14 署名の検証に失敗すると名前解決そのものが失敗(ServFail) 鍵と署名の交換を定期的に行う必要があり運用が煩雑 DNSSECの留意点 .(root) jp. example.jp. 名前解決不能 (ServFail) キャッシュDNSサーバ (フルリゾルバ) クライアント (スタブリゾルバ) 検証 問い合わせ 検証済フラグ付き応答 検証 問い合わせ 署名付応答 鍵情報(DS)の登録 鍵情報(DS)の登録 問い合わせ 権威DNSサーバ (ネームサーバ) トラストアンカー
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 15 DNSSECの捉え方とよくある意見 今後さらにDNSの安全性を脅かす攻撃手法が発見、あるいは脅威が 顕在化したときに備え、それらから守るための手段を社会インフラとして のDNSおよびDNS運用者は用意しておく必要があります。 DNSSECはそのために用意された既に利用可能な仕組みです。 DNSSECはセンスが悪い。 署名失敗時のリスクが高すぎる。 UDPやめてTCPにすればいい じゃない。 個々のご意見はごもっともなのですが、批判するだけでは解決しません。 代替案とともにIETFなどでの標準化活動をお願いします。
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 16 世界的なDNSSECの普及動向 https://stats.labs.apnic.net/dnssec 順 位 cc TLD 国名 DNSSEC Validation 1 KI キリバス共和国 95.07% 10 SE スウェーデン 76.40% 17 PT ポルトガル 63.77% 51 HK 香港 36.54% 55 FR フランス 33.22% 70 AU オーストラリア 26.18% 82 US アメリカ 23.09% 99 EU 欧州連合 18.41% 115 RU ロシア 14.97% 167 JP 日本 6.63%
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 17 DNSはとっても身近で重要なインフラです。しかし多くの方が無知無関 心であり、その最たる例が「浸透問題」です。技術者として的確にDNS の知識を備えておきましょう。 メッセージ https://internet.watch.impress.co.jp/docs/event/iw2011/494798.html 要は正しい手順に 従ってないだけ
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 18 日本国内で年2回、DNSを取り巻く現状や動向を共有するイベントが開 催されています。ぜひご参加ください。 お知らせ その1 DNS Summer Day 主催:DNSOPS.JP 費用:無償 夏のイベント 2018年6月下旬予定 第19回 DNSOPS.JP BoF 主催:DNSOPS.JP 費用:無償 Internet Week 2017 DNS DAY 主催:JPNIC/後援:DNSOPS.JP 費用:11,000円 同日夜開催 冬のイベント 2017年11月30日 https://www.nic.ad.jp/iw2017/ http://dnsops.jp/event.html
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 19 登録受付中!! 日程: 2017年11月28日(火)~12月1日(金) (4日間) 場所: 浅草橋(東京) ヒューリックホール&ヒューリックカンファレンス https://internetweek.jp/ お知らせ その2
Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 20 Internet Week 2017 おすすめプログラムピックアップ まるわかりIoT講座 ~スタートダッシュを決める150分~ IoTもおまかせ!サーバーレスで変わる インフラとの関わり方 11月29日(水) 09:30-12:00(150分) 転ばぬ先のIoTセキュリティ ~コウカイする前に知るべきこと~ 11月29日(水) 13:15-15:45(150分) 11月29日(水) 16:15-18:45(150分) DNS DAY キャッチアップ! 2020に向けたメール運用 11月30日(木) 09:30-12:00(150分) 11月30日(木) 13:15-18:45(300分) 最新技術の三連星 基礎を高める450分 一般 学生※ 150分枠 5,500円 550円 300分枠 11,000円 1,100円 ※25歳以下に限る

Recommended

AWSからのメール送信
AWSからのメール送信AWSからのメール送信
AWSからのメール送信Amazon Web Services Japan
 
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
20191016 AWS Black Belt Online Seminar Amazon Route 53 ResolverAmazon Web Services Japan
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)Trainocate Japan, Ltd.
 
初心者向けWebinar AWSで開発環境を構築しよう
初心者向けWebinar AWSで開発環境を構築しよう初心者向けWebinar AWSで開発環境を構築しよう
初心者向けWebinar AWSで開発環境を構築しようAmazon Web Services Japan
 
Amazon SNS+SQSによる Fanoutシナリオの話
Amazon SNS+SQSによる Fanoutシナリオの話Amazon SNS+SQSによる Fanoutシナリオの話
Amazon SNS+SQSによる Fanoutシナリオの話Yoichi Toyota
 
Amazon S3を中心とするデータ分析のベストプラクティス
Amazon S3を中心とするデータ分析のベストプラクティスAmazon S3を中心とするデータ分析のベストプラクティス
Amazon S3を中心とするデータ分析のベストプラクティスAmazon Web Services Japan
 
(SPOT301) AWS Innovation at Scale | AWS re:Invent 2014
(SPOT301) AWS Innovation at Scale | AWS re:Invent 2014(SPOT301) AWS Innovation at Scale | AWS re:Invent 2014
(SPOT301) AWS Innovation at Scale | AWS re:Invent 2014Amazon Web Services
 
AWS セキュリティとコンプライアンス
AWS セキュリティとコンプライアンスAWS セキュリティとコンプライアンス
AWS セキュリティとコンプライアンスAmazon Web Services Japan
 

Recommended

AWSからのメール送信
AWSからのメール送信AWSからのメール送信
AWSからのメール送信Amazon Web Services Japan
 
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
20191016 AWS Black Belt Online Seminar Amazon Route 53 ResolverAmazon Web Services Japan
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)Trainocate Japan, Ltd.
 
初心者向けWebinar AWSで開発環境を構築しよう
初心者向けWebinar AWSで開発環境を構築しよう初心者向けWebinar AWSで開発環境を構築しよう
初心者向けWebinar AWSで開発環境を構築しようAmazon Web Services Japan
 
Amazon SNS+SQSによる Fanoutシナリオの話
Amazon SNS+SQSによる Fanoutシナリオの話Amazon SNS+SQSによる Fanoutシナリオの話
Amazon SNS+SQSによる Fanoutシナリオの話Yoichi Toyota
 
Amazon S3を中心とするデータ分析のベストプラクティス
Amazon S3を中心とするデータ分析のベストプラクティスAmazon S3を中心とするデータ分析のベストプラクティス
Amazon S3を中心とするデータ分析のベストプラクティスAmazon Web Services Japan
 
(SPOT301) AWS Innovation at Scale | AWS re:Invent 2014
(SPOT301) AWS Innovation at Scale | AWS re:Invent 2014(SPOT301) AWS Innovation at Scale | AWS re:Invent 2014
(SPOT301) AWS Innovation at Scale | AWS re:Invent 2014Amazon Web Services
 
AWS セキュリティとコンプライアンス
AWS セキュリティとコンプライアンスAWS セキュリティとコンプライアンス
AWS セキュリティとコンプライアンスAmazon Web Services Japan
 
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティスAmazon Web Services Japan
 
VPC Reachability Analyzer 使って人生が変わった話
VPC Reachability Analyzer 使って人生が変わった話VPC Reachability Analyzer 使って人生が変わった話
VPC Reachability Analyzer 使って人生が変わった話Noritaka Sekiyama
 
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Amazon Web Services Japan
 
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022Amazon Web Services Japan
 
AWS Black Belt Online Seminar 2016 AWS上でのファイルサーバ構築
AWS Black Belt Online Seminar 2016 AWS上でのファイルサーバ構築AWS Black Belt Online Seminar 2016 AWS上でのファイルサーバ構築
AWS Black Belt Online Seminar 2016 AWS上でのファイルサーバ構築Amazon Web Services Japan
 
私がなぜZscalerに?
私がなぜZscalerに?私がなぜZscalerに?
私がなぜZscalerに?Takayoshi Takaoka
 
AWS X-Rayによるアプリケーションの分析とデバッグ
AWS X-Rayによるアプリケーションの分析とデバッグAWS X-Rayによるアプリケーションの分析とデバッグ
AWS X-Rayによるアプリケーションの分析とデバッグAmazon Web Services Japan
 
DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA の AWS アカウント管理とセキュリティ監査自動化DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA の AWS アカウント管理とセキュリティ監査自動化DeNA
 
そんなトランザクションマネージャで大丈夫か?
そんなトランザクションマネージャで大丈夫か?そんなトランザクションマネージャで大丈夫か?
そんなトランザクションマネージャで大丈夫か?takezoe
 
基礎から学ぶ? EC2マルチキャスト
基礎から学ぶ? EC2マルチキャスト基礎から学ぶ? EC2マルチキャスト
基礎から学ぶ? EC2マルチキャストNoritaka Sekiyama
 
「DNS浸透いうな」と言うけれど… (#ssmjp 2018/07)
「DNS浸透いうな」と言うけれど… (#ssmjp 2018/07)「DNS浸透いうな」と言うけれど… (#ssmjp 2018/07)
「DNS浸透いうな」と言うけれど… (#ssmjp 2018/07)Yoshikazu GOTO
 
多要素認証による Amazon WorkSpaces の利用
多要素認証による Amazon WorkSpaces の利用多要素認証による Amazon WorkSpaces の利用
多要素認証による Amazon WorkSpaces の利用Amazon Web Services Japan
 
AWS Black Belt Techシリーズ AWS Direct Connect
AWS Black Belt Techシリーズ AWS Direct ConnectAWS Black Belt Techシリーズ AWS Direct Connect
AWS Black Belt Techシリーズ AWS Direct ConnectAmazon Web Services Japan
 
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティスAWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティスAkihiro Kuwano
 
VPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイント
VPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイントVPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイント
VPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイントTakuya Takaseki
 
[Cloud OnAir] Google Cloud でセキュアにアプリケーションを開発しよう 2019年3月7日 放送
[Cloud OnAir] Google Cloud でセキュアにアプリケーションを開発しよう 2019年3月7日 放送[Cloud OnAir] Google Cloud でセキュアにアプリケーションを開発しよう 2019年3月7日 放送
[Cloud OnAir] Google Cloud でセキュアにアプリケーションを開発しよう 2019年3月7日 放送Google Cloud Platform - Japan
 
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続Amazon Web Services Japan
 
マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!mosa siru
 
AWS Black Belt Online Seminar AWSで実現するDisaster Recovery
AWS Black Belt Online Seminar AWSで実現するDisaster RecoveryAWS Black Belt Online Seminar AWSで実現するDisaster Recovery
AWS Black Belt Online Seminar AWSで実現するDisaster RecoveryAmazon Web Services Japan
 
[AKIBA.AWS] VGWのルーティング仕様
[AKIBA.AWS] VGWのルーティング仕様[AKIBA.AWS] VGWのルーティング仕様
[AKIBA.AWS] VGWのルーティング仕様Shuji Kikuchi
 
JavaOne2017で感じた、Javaのいまと未来 in 大阪
JavaOne2017で感じた、Javaのいまと未来 in 大阪JavaOne2017で感じた、Javaのいまと未来 in 大阪
JavaOne2017で感じた、Javaのいまと未来 in 大阪なおき きしだ
 
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~Tomohiro Nakashima
 

More Related Content

What's hot

[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティスAmazon Web Services Japan
 
VPC Reachability Analyzer 使って人生が変わった話
VPC Reachability Analyzer 使って人生が変わった話VPC Reachability Analyzer 使って人生が変わった話
VPC Reachability Analyzer 使って人生が変わった話Noritaka Sekiyama
 
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Amazon Web Services Japan
 
AWS Black Belt Online Seminar 2016 AWS上でのファイルサーバ構築
AWS Black Belt Online Seminar 2016 AWS上でのファイルサーバ構築AWS Black Belt Online Seminar 2016 AWS上でのファイルサーバ構築
AWS Black Belt Online Seminar 2016 AWS上でのファイルサーバ構築Amazon Web Services Japan
 
AWS X-Rayによるアプリケーションの分析とデバッグ
AWS X-Rayによるアプリケーションの分析とデバッグAWS X-Rayによるアプリケーションの分析とデバッグ
AWS X-Rayによるアプリケーションの分析とデバッグAmazon Web Services Japan
 
DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA の AWS アカウント管理とセキュリティ監査自動化DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA の AWS アカウント管理とセキュリティ監査自動化DeNA
 
そんなトランザクションマネージャで大丈夫か?
そんなトランザクションマネージャで大丈夫か?そんなトランザクションマネージャで大丈夫か?
そんなトランザクションマネージャで大丈夫か?takezoe
 
基礎から学ぶ? EC2マルチキャスト
基礎から学ぶ? EC2マルチキャスト基礎から学ぶ? EC2マルチキャスト
基礎から学ぶ? EC2マルチキャストNoritaka Sekiyama
 
「DNS浸透いうな」と言うけれど… (#ssmjp 2018/07)
「DNS浸透いうな」と言うけれど… (#ssmjp 2018/07)「DNS浸透いうな」と言うけれど… (#ssmjp 2018/07)
「DNS浸透いうな」と言うけれど… (#ssmjp 2018/07)Yoshikazu GOTO
 
多要素認証による Amazon WorkSpaces の利用
多要素認証による Amazon WorkSpaces の利用多要素認証による Amazon WorkSpaces の利用
多要素認証による Amazon WorkSpaces の利用Amazon Web Services Japan
 
AWS Black Belt Techシリーズ AWS Direct Connect
AWS Black Belt Techシリーズ AWS Direct ConnectAWS Black Belt Techシリーズ AWS Direct Connect
AWS Black Belt Techシリーズ AWS Direct ConnectAmazon Web Services Japan
 
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティスAWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティスAkihiro Kuwano
 
VPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイント
VPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイントVPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイント
VPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイントTakuya Takaseki
 
[Cloud OnAir] Google Cloud でセキュアにアプリケーションを開発しよう 2019年3月7日 放送
[Cloud OnAir] Google Cloud でセキュアにアプリケーションを開発しよう 2019年3月7日 放送[Cloud OnAir] Google Cloud でセキュアにアプリケーションを開発しよう 2019年3月7日 放送
[Cloud OnAir] Google Cloud でセキュアにアプリケーションを開発しよう 2019年3月7日 放送Google Cloud Platform - Japan
 
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続Amazon Web Services Japan
 
マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!mosa siru
 
AWS Black Belt Online Seminar AWSで実現するDisaster Recovery
AWS Black Belt Online Seminar AWSで実現するDisaster RecoveryAWS Black Belt Online Seminar AWSで実現するDisaster Recovery
AWS Black Belt Online Seminar AWSで実現するDisaster RecoveryAmazon Web Services Japan
 
[AKIBA.AWS] VGWのルーティング仕様
[AKIBA.AWS] VGWのルーティング仕様[AKIBA.AWS] VGWのルーティング仕様
[AKIBA.AWS] VGWのルーティング仕様Shuji Kikuchi
 

What's hot (20)

[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
 
VPC Reachability Analyzer 使って人生が変わった話
VPC Reachability Analyzer 使って人生が変わった話VPC Reachability Analyzer 使って人生が変わった話
VPC Reachability Analyzer 使って人生が変わった話
 
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
 
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
 
AWS Black Belt Online Seminar 2016 AWS上でのファイルサーバ構築
AWS Black Belt Online Seminar 2016 AWS上でのファイルサーバ構築AWS Black Belt Online Seminar 2016 AWS上でのファイルサーバ構築
AWS Black Belt Online Seminar 2016 AWS上でのファイルサーバ構築
 
私がなぜZscalerに?
私がなぜZscalerに?私がなぜZscalerに?
私がなぜZscalerに?
 
AWS X-Rayによるアプリケーションの分析とデバッグ
AWS X-Rayによるアプリケーションの分析とデバッグAWS X-Rayによるアプリケーションの分析とデバッグ
AWS X-Rayによるアプリケーションの分析とデバッグ
 
DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA の AWS アカウント管理とセキュリティ監査自動化DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA の AWS アカウント管理とセキュリティ監査自動化
 
そんなトランザクションマネージャで大丈夫か?
そんなトランザクションマネージャで大丈夫か?そんなトランザクションマネージャで大丈夫か?
そんなトランザクションマネージャで大丈夫か?
 
基礎から学ぶ? EC2マルチキャスト
基礎から学ぶ? EC2マルチキャスト基礎から学ぶ? EC2マルチキャスト
基礎から学ぶ? EC2マルチキャスト
 
「DNS浸透いうな」と言うけれど… (#ssmjp 2018/07)
「DNS浸透いうな」と言うけれど… (#ssmjp 2018/07)「DNS浸透いうな」と言うけれど… (#ssmjp 2018/07)
「DNS浸透いうな」と言うけれど… (#ssmjp 2018/07)
 
多要素認証による Amazon WorkSpaces の利用
多要素認証による Amazon WorkSpaces の利用多要素認証による Amazon WorkSpaces の利用
多要素認証による Amazon WorkSpaces の利用
 
AWS Black Belt Techシリーズ AWS Direct Connect
AWS Black Belt Techシリーズ AWS Direct ConnectAWS Black Belt Techシリーズ AWS Direct Connect
AWS Black Belt Techシリーズ AWS Direct Connect
 
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティスAWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティス
 
VPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイント
VPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイントVPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイント
VPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイント
 
[Cloud OnAir] Google Cloud でセキュアにアプリケーションを開発しよう 2019年3月7日 放送
[Cloud OnAir] Google Cloud でセキュアにアプリケーションを開発しよう 2019年3月7日 放送[Cloud OnAir] Google Cloud でセキュアにアプリケーションを開発しよう 2019年3月7日 放送
[Cloud OnAir] Google Cloud でセキュアにアプリケーションを開発しよう 2019年3月7日 放送
 
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
 
マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!
 
AWS Black Belt Online Seminar AWSで実現するDisaster Recovery
AWS Black Belt Online Seminar AWSで実現するDisaster RecoveryAWS Black Belt Online Seminar AWSで実現するDisaster Recovery
AWS Black Belt Online Seminar AWSで実現するDisaster Recovery
 
[AKIBA.AWS] VGWのルーティング仕様
[AKIBA.AWS] VGWのルーティング仕様[AKIBA.AWS] VGWのルーティング仕様
[AKIBA.AWS] VGWのルーティング仕様
 

Viewers also liked

JavaOne2017で感じた、Javaのいまと未来 in 大阪
JavaOne2017で感じた、Javaのいまと未来 in 大阪JavaOne2017で感じた、Javaのいまと未来 in 大阪
JavaOne2017で感じた、Javaのいまと未来 in 大阪なおき きしだ
 
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~Tomohiro Nakashima
 
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~Tomohiro Nakashima
 
Netflix: From Clouds to Roots
Netflix: From Clouds to RootsNetflix: From Clouds to Roots
Netflix: From Clouds to RootsBrendan Gregg
 
全文検索サーバ Fess 〜 全文検索システム構築時の悩みどころ
全文検索サーバ Fess 〜 全文検索システム構築時の悩みどころ全文検索サーバ Fess 〜 全文検索システム構築時の悩みどころ
全文検索サーバ Fess 〜 全文検索システム構築時の悩みどころShinsuke Sugaya
 
失敗事例で学ぶ負荷試験
失敗事例で学ぶ負荷試験失敗事例で学ぶ負荷試験
失敗事例で学ぶ負荷試験樽八 仲川
 
4つの戦犯から考えるサービスづくりの失敗
4つの戦犯から考えるサービスづくりの失敗4つの戦犯から考えるサービスづくりの失敗
4つの戦犯から考えるサービスづくりの失敗toshihiro ichitani
 
劇的改善 Ci4時間から5分へ〜私がやった10のこと〜
劇的改善 Ci4時間から5分へ〜私がやった10のこと〜劇的改善 Ci4時間から5分へ〜私がやった10のこと〜
劇的改善 Ci4時間から5分へ〜私がやった10のこと〜aha_oretama
 
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話Kumazaki Hiroki
 
シリコンバレーの「何が」凄いのか
シリコンバレーの「何が」凄いのかシリコンバレーの「何が」凄いのか
シリコンバレーの「何が」凄いのかAtsushi Nakada
 
Redmine4時代のプラグイン開発 redmine.tokyo #13
Redmine4時代のプラグイン開発 redmine.tokyo #13Redmine4時代のプラグイン開発 redmine.tokyo #13
Redmine4時代のプラグイン開発 redmine.tokyo #13Sho Douhashi
 

Viewers also liked (11)

JavaOne2017で感じた、Javaのいまと未来 in 大阪
JavaOne2017で感じた、Javaのいまと未来 in 大阪JavaOne2017で感じた、Javaのいまと未来 in 大阪
JavaOne2017で感じた、Javaのいまと未来 in 大阪
 
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
 
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~
 
Netflix: From Clouds to Roots
Netflix: From Clouds to RootsNetflix: From Clouds to Roots
Netflix: From Clouds to Roots
 
全文検索サーバ Fess 〜 全文検索システム構築時の悩みどころ
全文検索サーバ Fess 〜 全文検索システム構築時の悩みどころ全文検索サーバ Fess 〜 全文検索システム構築時の悩みどころ
全文検索サーバ Fess 〜 全文検索システム構築時の悩みどころ
 
失敗事例で学ぶ負荷試験
失敗事例で学ぶ負荷試験失敗事例で学ぶ負荷試験
失敗事例で学ぶ負荷試験
 
4つの戦犯から考えるサービスづくりの失敗
4つの戦犯から考えるサービスづくりの失敗4つの戦犯から考えるサービスづくりの失敗
4つの戦犯から考えるサービスづくりの失敗
 
劇的改善 Ci4時間から5分へ〜私がやった10のこと〜
劇的改善 Ci4時間から5分へ〜私がやった10のこと〜劇的改善 Ci4時間から5分へ〜私がやった10のこと〜
劇的改善 Ci4時間から5分へ〜私がやった10のこと〜
 
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話
 
シリコンバレーの「何が」凄いのか
シリコンバレーの「何が」凄いのかシリコンバレーの「何が」凄いのか
シリコンバレーの「何が」凄いのか
 
Redmine4時代のプラグイン開発 redmine.tokyo #13
Redmine4時代のプラグイン開発 redmine.tokyo #13Redmine4時代のプラグイン開発 redmine.tokyo #13
Redmine4時代のプラグイン開発 redmine.tokyo #13
 

Similar to 広く知ってほしいDNSのこと ―とあるセキュリティ屋から見たDNS受難の10年間―

DNSとサイバー攻撃
DNSとサイバー攻撃DNSとサイバー攻撃
DNSとサイバー攻撃Shiojiri Ohhara
 
クラウドプロバイダーが守ってくれない重要なデータの保護! ENTRUSTの強力な暗号化ソリューションのご紹介 エントラストジャパンセッションスライド
クラウドプロバイダーが守ってくれない重要なデータの保護! ENTRUSTの強力な暗号化ソリューションのご紹介 エントラストジャパンセッションスライドクラウドプロバイダーが守ってくれない重要なデータの保護! ENTRUSTの強力な暗号化ソリューションのご紹介 エントラストジャパンセッションスライド
クラウドプロバイダーが守ってくれない重要なデータの保護! ENTRUSTの強力な暗号化ソリューションのご紹介 エントラストジャパンセッションスライド株式会社クライム
 
20070901.mydomain
20070901.mydomain20070901.mydomain
20070901.mydomainKen SASAKI
 
データサイエンスの全体像とデータサイエンティスト
データサイエンスの全体像とデータサイエンティストデータサイエンスの全体像とデータサイエンティスト
データサイエンスの全体像とデータサイエンティストThe Japan DataScientist Society
 
2017年度注目の.netテクノロジー
2017年度注目の.netテクノロジー2017年度注目の.netテクノロジー
2017年度注目の.netテクノロジーMakoto Nishimura
 
Mutualized Oblivious DNS (μODNS): Hiding a tree in the wild forest
Mutualized Oblivious DNS (μODNS): Hiding a tree in the wild forestMutualized Oblivious DNS (μODNS): Hiding a tree in the wild forest
Mutualized Oblivious DNS (μODNS): Hiding a tree in the wild forestJun Kurihara
 
Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517Tomohiko Yamakawa
 
DDoS-taisaku-etc
DDoS-taisaku-etcDDoS-taisaku-etc
DDoS-taisaku-etcmatsu17673
 
KOBE IT FESTIVAL 2012
KOBE IT FESTIVAL 2012KOBE IT FESTIVAL 2012
KOBE IT FESTIVAL 2012Hiroshi Bunya
 
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~apkiban
 
10分でわかる幽霊問題-事後資料
10分でわかる幽霊問題-事後資料10分でわかる幽霊問題-事後資料
10分でわかる幽霊問題-事後資料Yasuhiro Morishita
 
突然PCI DSS担当になった人が話すPCI DSS入門
突然PCI DSS担当になった人が話すPCI DSS入門突然PCI DSS担当になった人が話すPCI DSS入門
突然PCI DSS担当になった人が話すPCI DSS入門Kiyokatsu Ogushi (Ohgushi)
 
DeepLearningフレームワークChainerの学習済みモデルをスマートフォンにDeployする
DeepLearningフレームワークChainerの学習済みモデルをスマートフォンにDeployするDeepLearningフレームワークChainerの学習済みモデルをスマートフォンにDeployする
DeepLearningフレームワークChainerの学習済みモデルをスマートフォンにDeployするtomohiro kato
 
DNS悩み多きシステムの基礎から最新状況まで
DNS悩み多きシステムの基礎から最新状況までDNS悩み多きシステムの基礎から最新状況まで
DNS悩み多きシステムの基礎から最新状況までYoshiki Ishida
 
DeNAのプログラミング教育の取り組み #denatechcon
DeNAのプログラミング教育の取り組み #denatechconDeNAのプログラミング教育の取り組み #denatechcon
DeNAのプログラミング教育の取り組み #denatechconDeNA
 

Similar to 広く知ってほしいDNSのこと ―とあるセキュリティ屋から見たDNS受難の10年間― (17)

DNSとサイバー攻撃
DNSとサイバー攻撃DNSとサイバー攻撃
DNSとサイバー攻撃
 
Newsletter20110102
Newsletter20110102Newsletter20110102
Newsletter20110102
 
クラウドプロバイダーが守ってくれない重要なデータの保護! ENTRUSTの強力な暗号化ソリューションのご紹介 エントラストジャパンセッションスライド
クラウドプロバイダーが守ってくれない重要なデータの保護! ENTRUSTの強力な暗号化ソリューションのご紹介 エントラストジャパンセッションスライドクラウドプロバイダーが守ってくれない重要なデータの保護! ENTRUSTの強力な暗号化ソリューションのご紹介 エントラストジャパンセッションスライド
クラウドプロバイダーが守ってくれない重要なデータの保護! ENTRUSTの強力な暗号化ソリューションのご紹介 エントラストジャパンセッションスライド
 
20070901.mydomain
20070901.mydomain20070901.mydomain
20070901.mydomain
 
データサイエンスの全体像とデータサイエンティスト
データサイエンスの全体像とデータサイエンティストデータサイエンスの全体像とデータサイエンティスト
データサイエンスの全体像とデータサイエンティスト
 
2017年度注目の.netテクノロジー
2017年度注目の.netテクノロジー2017年度注目の.netテクノロジー
2017年度注目の.netテクノロジー
 
はじめてのDNS
はじめてのDNSはじめてのDNS
はじめてのDNS
 
Mutualized Oblivious DNS (μODNS): Hiding a tree in the wild forest
Mutualized Oblivious DNS (μODNS): Hiding a tree in the wild forestMutualized Oblivious DNS (μODNS): Hiding a tree in the wild forest
Mutualized Oblivious DNS (μODNS): Hiding a tree in the wild forest
 
Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517
 
DDoS-taisaku-etc
DDoS-taisaku-etcDDoS-taisaku-etc
DDoS-taisaku-etc
 
KOBE IT FESTIVAL 2012
KOBE IT FESTIVAL 2012KOBE IT FESTIVAL 2012
KOBE IT FESTIVAL 2012
 
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
 
10分でわかる幽霊問題-事後資料
10分でわかる幽霊問題-事後資料10分でわかる幽霊問題-事後資料
10分でわかる幽霊問題-事後資料
 
突然PCI DSS担当になった人が話すPCI DSS入門
突然PCI DSS担当になった人が話すPCI DSS入門突然PCI DSS担当になった人が話すPCI DSS入門
突然PCI DSS担当になった人が話すPCI DSS入門
 
DeepLearningフレームワークChainerの学習済みモデルをスマートフォンにDeployする
DeepLearningフレームワークChainerの学習済みモデルをスマートフォンにDeployするDeepLearningフレームワークChainerの学習済みモデルをスマートフォンにDeployする
DeepLearningフレームワークChainerの学習済みモデルをスマートフォンにDeployする
 
DNS悩み多きシステムの基礎から最新状況まで
DNS悩み多きシステムの基礎から最新状況までDNS悩み多きシステムの基礎から最新状況まで
DNS悩み多きシステムの基礎から最新状況まで
 
DeNAのプログラミング教育の取り組み #denatechcon
DeNAのプログラミング教育の取り組み #denatechconDeNAのプログラミング教育の取り組み #denatechcon
DeNAのプログラミング教育の取り組み #denatechcon
 

More from Tomohiro Nakashima

セキュリティ基準、標準、規制 との付き合い方
セキュリティ基準、標準、規制 との付き合い方セキュリティ基準、標準、規制 との付き合い方
セキュリティ基準、標準、規制 との付き合い方Tomohiro Nakashima
 
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点セキュリティ設計の頻出論点
セキュリティ設計の頻出論点Tomohiro Nakashima
 
AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報
AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報
AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報Tomohiro Nakashima
 
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-Tomohiro Nakashima
 
続・広く知ってほしいDNSのこと
続・広く知ってほしいDNSのこと続・広く知ってほしいDNSのこと
続・広く知ってほしいDNSのことTomohiro Nakashima
 
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
「グローバルプラットフォーマー問題」なにそれ?おいしいの?「グローバルプラットフォーマー問題」なにそれ?おいしいの?
「グローバルプラットフォーマー問題」なにそれ?おいしいの?Tomohiro Nakashima
 
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~Tomohiro Nakashima
 
JANOG39 脆弱性ハンドリングを楽にするBoF進行資料
JANOG39 脆弱性ハンドリングを楽にするBoF進行資料JANOG39 脆弱性ハンドリングを楽にするBoF進行資料
JANOG39 脆弱性ハンドリングを楽にするBoF進行資料Tomohiro Nakashima
 
JANOG39 脆弱性ハンドリングを楽にするBoF頭出し資料
JANOG39 脆弱性ハンドリングを楽にするBoF頭出し資料JANOG39 脆弱性ハンドリングを楽にするBoF頭出し資料
JANOG39 脆弱性ハンドリングを楽にするBoF頭出し資料Tomohiro Nakashima
 

More from Tomohiro Nakashima (11)

セキュリティ基準、標準、規制 との付き合い方
セキュリティ基準、標準、規制 との付き合い方セキュリティ基準、標準、規制 との付き合い方
セキュリティ基準、標準、規制 との付き合い方
 
AWSではじめるDNSSEC
AWSではじめるDNSSECAWSではじめるDNSSEC
AWSではじめるDNSSEC
 
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点セキュリティ設計の頻出論点
セキュリティ設計の頻出論点
 
AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報
AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報
AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報
 
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
 
続・広く知ってほしいDNSのこと
続・広く知ってほしいDNSのこと続・広く知ってほしいDNSのこと
続・広く知ってほしいDNSのこと
 
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
「グローバルプラットフォーマー問題」なにそれ?おいしいの?「グローバルプラットフォーマー問題」なにそれ?おいしいの?
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
 
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
 
JANOG39 脆弱性ハンドリングを楽にするBoF進行資料
JANOG39 脆弱性ハンドリングを楽にするBoF進行資料JANOG39 脆弱性ハンドリングを楽にするBoF進行資料
JANOG39 脆弱性ハンドリングを楽にするBoF進行資料
 
JANOG39 脆弱性ハンドリングを楽にするBoF頭出し資料
JANOG39 脆弱性ハンドリングを楽にするBoF頭出し資料JANOG39 脆弱性ハンドリングを楽にするBoF頭出し資料
JANOG39 脆弱性ハンドリングを楽にするBoF頭出し資料
 
DDoS対処の戦術と戦略
DDoS対処の戦術と戦略DDoS対処の戦術と戦略
DDoS対処の戦術と戦略
 

Recently uploaded

20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directoryosamut
 
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Danieldanielhu54
 
UPWARD_share_company_information_20240415.pdf
UPWARD_share_company_information_20240415.pdfUPWARD_share_company_information_20240415.pdf
UPWARD_share_company_information_20240415.pdffurutsuka
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムsugiuralab
 
PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000Shota Ito
 
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。iPride Co., Ltd.
 
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptxIoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptxAtomu Hidaka
 
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略Ryo Sasaki
 
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。iPride Co., Ltd.
 

Recently uploaded (9)

20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory
 
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
 
UPWARD_share_company_information_20240415.pdf
UPWARD_share_company_information_20240415.pdfUPWARD_share_company_information_20240415.pdf
UPWARD_share_company_information_20240415.pdf
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
 
PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000
 
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
 
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptxIoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
 
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
 
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
 

広く知ってほしいDNSのこと ―とあるセキュリティ屋から見たDNS受難の10年間―

  • 2. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 1 本日のゴール 参加者全員が以下のキーワードの区別が付くようになる ▪ スタブリゾルバ、フルリゾルバ、ネームサーバ ▪ レジストラ、レジストリ 「DNSの脅威」を正しく知り、正しく怖がる 「DNSの浸透問題」が都市伝説であることを知る 技術者としてDNSを正しく理解し、備えるモチベーションを得る 社会人一年目からDNSに携わり気づけば10年。その間、本当にいろい ろなことがありました。教科書に載っていないDNSのいろいろ、その一 部をお話しします。 はじめに 結果
  • 3. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 2 ネットワーク上で名前解決を行うためのプロトコルであり ネットワークを通じて提供されるあらゆるサービスが依存 WWW, メール, VoIP, etc・・・ DNSの情報に依存する仕組みも多い SSL証明書 送信ドメイン認証(SPF/DKIM) パラノイドチェック(正引きと逆引きの一致) DNSとは example.jp A ? example.jp. A is 124.146.181.148 DNSサーバ群
  • 4. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 3 フルリゾルバが代理で.(root)から再帰的に名前解決 名前解決の結果はキャッシュDNSサーバで保持され再利用 低負荷、高レスポンス性を実現するため原則UDPで通信 DNSのメカニズム .(root) jp. example.jp. example.jp. A ? キャッシュDNSサーバ (フルリゾルバ) ↑覚えよう! 権威DNSサーバ (ネームサーバ) ↑覚えよう! example.jp. A ? クライアント (スタブリゾルバ) ↑覚えよう! example.jp. A is 124.146.181.148 example.jp. NS is・・・
  • 5. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 4 ネームサーバ ゾーン情報を保持、管理、公開するためのサーバ。日本では Authoritative Serverを直訳して権威DNSサーバとも呼ばれる。 フルリゾルバ ネームサーバで公開されている情報を、ルートからたどって参 照(再帰問い合わせ)する機能を持つリゾルバ(=名前解決する もの)。スタブリゾルバに対して、フル(サービス)リゾルバと呼ば れる。日本ではキャッシュDNSサーバとも呼ばれる。 スタブリゾルバ 再帰問い合わせ機能を持たないリゾルバ。単に名前解決をし たいだけの機器に組み込まれる。一般的なクライアントOS (Windows/Macなど)のDNS設定はスタブリゾルバの設定。 ネームサーバ、フルリゾルバ、スタブリゾルバ 3つを区別することが、DNSを的確に理解するために重要 ゾーン情報の公開 再帰問合わせ キャッシュ キャッシュ
  • 6. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 5 全世界のサーバが協調して動作する分散型データベースと言えば 聞こえはいいが、どこにでも悪意の入る余地のある脆弱な仕組み DNSを取り巻く脅威 .(root) jp. example.jp. example.jp. A ? キャッシュDNSサーバ (フルリゾルバ) ↑覚えよう! 権威DNSサーバ (ネームサーバ) ↑覚えよう! example.jp. A ? クライアント (スタブリゾルバ) ↑覚えよう! example.jp. A is 192.0.2.1 example.jp. NS is・・・
  • 7. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 6 ケース1)応答割り込みによるキャッシュ汚染攻撃 example.jp. 問い合わせ 権威DNSサーバ (ネームサーバ) ↑覚えよう応答 キャッシュDNSサーバ (フルリゾルバ) ↑覚えよう クライアント (スタブリゾルバ) ↑覚えよう 攻撃者 汚染 Rqt N WRr     ) 6553665536 1(15.0 Source:JANOG19 "これでいいのかTTL"民田さん@JPRSを改変 Rr:応答攻撃のレート Rq問い合わせ攻撃のレート W:正規応答が返ってくるまでの時間 N:ネームサーバの数 t:時間 Kaminsky Attack(2008年)はこの攻撃の効率性を高めたことで大きく 話題となった。現在はDNS実装に緩和策が施されており、直ちに危険 なものではない。
  • 8. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 7 ケース2-1)金盾(Great Firewall of CHINA) 原典:JANOG27 戸山純一氏「特定の条件下で発生する通信エラーに関する考察」 中国の国家規模のDNSスプーフィングは昔から広く知られる
  • 9. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 8 ケース2-2)中東の某国 https://ripe75.ripe.net/presentations/20-A-curious-case- of-broken-DNS-responses-RIPE-75.pdf 今日ではもはや中国に限る話ではない
  • 10. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 9 ケース2-3)DigiNotar事件 原典:PKI Day 2012 神田雅透氏「 サイバー攻撃ツールとしての公開鍵証明書の役割」 DNSスプーフィングされても重要な通信は SSL/TLSで保護されるから大丈夫だよ。 偽SSL/TLS証明書とセットで悪用される凶悪な事例が現実に発生
  • 11. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 10 ケース3)日経新聞、はてなドメイン名ハイジャック事件 http://www.itmedia.co.jp/news/article s/1411/06/news123.html 国内事業者のネームサーバ情報が第三者により書き換えられた
  • 12. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 11 想定される脅威のまとめ 悪意ある第三者 攻撃手法 DNS応答への割り込みによる キャッシュ汚染攻撃 何らかの手法によるDNSサーバを 乗っ取ったDNS応答の改ざん など 国家規模の何か 攻撃手法 通信経路ハイジャック DNSサーバへの介入などによる DNS応答そのものの改ざん など 対策手法 改ざんを検知する仕組みの導入 攻撃を検知・防御する仕組みの導入 対策手法 改ざんを検知する仕組みの導入
  • 13. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 12 DNSの不都合な事実 攻撃ポイントがたくさんある プロトコルとしてスプーフィング(偽装/改ざん)への耐性が高くない DNSへの攻撃が成功すると 悪意あるサイトへの誘導(フィッシング、攻撃コード、マルウェア配布) 中間者攻撃(Man In the Middle Attack) サービス妨害(DoS) etc・・・ あらゆるサービスが依存する重要なインフラにも関わらず、 DNSの応答が正しさを確認する方法がないことが問題 DNSの脆さと相手認証の必要性 DNSにおいて通信相手と通信の中身の認証が必要
  • 14. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 13 DNSSEC(DNS SECurity extension)は 公開鍵暗号を用いた電子署名で応答の真正性検証を行う拡張仕様 DNSスプーフィングを根本的に防ぐことが可能 DNSSECとは example.jp. example.jp. A ? 権威DNSサーバ (ネームサーバ) 応答+検証済みフラグ キャッシュDNSサーバ (フルリゾルバ) ユーザ (スタブリゾルバ) 攻撃者 検証
  • 15. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 14 署名の検証に失敗すると名前解決そのものが失敗(ServFail) 鍵と署名の交換を定期的に行う必要があり運用が煩雑 DNSSECの留意点 .(root) jp. example.jp. 名前解決不能 (ServFail) キャッシュDNSサーバ (フルリゾルバ) クライアント (スタブリゾルバ) 検証 問い合わせ 検証済フラグ付き応答 検証 問い合わせ 署名付応答 鍵情報(DS)の登録 鍵情報(DS)の登録 問い合わせ 権威DNSサーバ (ネームサーバ) トラストアンカー
  • 16. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 15 DNSSECの捉え方とよくある意見 今後さらにDNSの安全性を脅かす攻撃手法が発見、あるいは脅威が 顕在化したときに備え、それらから守るための手段を社会インフラとして のDNSおよびDNS運用者は用意しておく必要があります。 DNSSECはそのために用意された既に利用可能な仕組みです。 DNSSECはセンスが悪い。 署名失敗時のリスクが高すぎる。 UDPやめてTCPにすればいい じゃない。 個々のご意見はごもっともなのですが、批判するだけでは解決しません。 代替案とともにIETFなどでの標準化活動をお願いします。
  • 17. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 16 世界的なDNSSECの普及動向 https://stats.labs.apnic.net/dnssec 順 位 cc TLD 国名 DNSSEC Validation 1 KI キリバス共和国 95.07% 10 SE スウェーデン 76.40% 17 PT ポルトガル 63.77% 51 HK 香港 36.54% 55 FR フランス 33.22% 70 AU オーストラリア 26.18% 82 US アメリカ 23.09% 99 EU 欧州連合 18.41% 115 RU ロシア 14.97% 167 JP 日本 6.63%
  • 18. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 17 DNSはとっても身近で重要なインフラです。しかし多くの方が無知無関 心であり、その最たる例が「浸透問題」です。技術者として的確にDNS の知識を備えておきましょう。 メッセージ https://internet.watch.impress.co.jp/docs/event/iw2011/494798.html 要は正しい手順に 従ってないだけ
  • 19. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 18 日本国内で年2回、DNSを取り巻く現状や動向を共有するイベントが開 催されています。ぜひご参加ください。 お知らせ その1 DNS Summer Day 主催:DNSOPS.JP 費用:無償 夏のイベント 2018年6月下旬予定 第19回 DNSOPS.JP BoF 主催:DNSOPS.JP 費用:無償 Internet Week 2017 DNS DAY 主催:JPNIC/後援:DNSOPS.JP 費用:11,000円 同日夜開催 冬のイベント 2017年11月30日 https://www.nic.ad.jp/iw2017/ http://dnsops.jp/event.html
  • 20. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 19 登録受付中!! 日程: 2017年11月28日(火)~12月1日(金) (4日間) 場所: 浅草橋(東京) ヒューリックホール&ヒューリックカンファレンス https://internetweek.jp/ お知らせ その2
  • 21. Copyright(C) NRI SecureTechnologies, Ltd. All rights reserved. 20 Internet Week 2017 おすすめプログラムピックアップ まるわかりIoT講座 ~スタートダッシュを決める150分~ IoTもおまかせ!サーバーレスで変わる インフラとの関わり方 11月29日(水) 09:30-12:00(150分) 転ばぬ先のIoTセキュリティ ~コウカイする前に知るべきこと~ 11月29日(水) 13:15-15:45(150分) 11月29日(水) 16:15-18:45(150分) DNS DAY キャッチアップ! 2020に向けたメール運用 11月30日(木) 09:30-12:00(150分) 11月30日(木) 13:15-18:45(300分) 最新技術の三連星 基礎を高める450分 一般 学生※ 150分枠 5,500円 550円 300分枠 11,000円 1,100円 ※25歳以下に限る